Hajautetun lähteen ohjausjärjestelmän Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 korjaavat julkaisut on julkaistu .2.27.1, 2.28.1, 2.29.3 ja 2021, jotka korjasivat haavoittuvuuden (CVE-21300-2.15), joka sallii koodin etäsuorittamisen, kun hyökkääjän arkisto kloonataan "git clone" -komennolla. Tämä vaikuttaa kaikkiin Gitin julkaisuihin versiosta XNUMX lähtien.
Ongelma ilmenee käytettäessä viivästettyjä uloskirjausoperaatioita, joita käytetään joissakin puhdistussuodattimissa, kuten Git LFS:ssä määritetyissä suodattimissa. Haavoittuvuuden hyödyntäminen on mahdollista vain kirjainkokoa ei-herkissä tiedostojärjestelmissä, jotka tukevat symbolisia linkkejä, kuten NTFS, HFS+ ja APFS (eli alustoilla Windows и macOS).
Suojauksen kiertotapana voit poistaa symlink-käsittelyn käytöstä gitissä suorittamalla "git config —global core.symlinks false" tai poistaa prosessisuodattimen tuen käytöstä komennolla "git config —show-scope —get-regexp 'filter\.. * \.käsitellä asiaa'". On myös suositeltavaa välttää vahvistamattomien tietovarastojen kloonausta.
Lähde: opennet.ru
